Na era da tecnologia da informação, a revolução digital transformou profundamente a maneira como a medicina é praticada. Os Sistemas de Arquivamento e Comunicação de Imagens (PACS, na sigla em inglês) emergiram como uma ferramenta vital para a gestão eficiente de imagens médicas, como radiografias, tomografias e ressonâncias magnéticas.
No entanto, à medida que os sistemas PACS desempenham um papel crucial na assistência médica, também trazem consigo riscos significativos de segurança cibernética que não podem ser ignorados.
Um levantamento feito pela equipe da ISH Tecnologia, através de fontes abertas (OSINT – Open Source Intelligence ou Inteligência de Fontes Abertas em tradução livre), detectou que cerca de 1.448 sistemas médicos estão expostos em todo o mundo e o Brasil ocupa o segundo lugar da lista com 214 sistemas expostos, ou seja, 15% do total mundial, perdendo somente para os EUA que ocupa a primeira posição com 294 sistemas expostos ou 20% do total.
Paulo Trindade, Gerente de Inteligência de Ameaças Cibernéticas da ISH Tecnologia, destaca que “o ponto mais crítico nestes sistemas é a altíssima quantidade de vulnerabilidades que são apontadas. Algumas delas datam de setembro de 2006”.
Dos 214 sistemas expostos no Brasil, 18% são de São Paulo, cidade mais afetada.
Riscos para a Segurança Cibernética em Sistemas Médicos
A análise da ISH Tecnologia revela que diversos sistemas médicos estão acessíveis online. Desta forma, os mesmos podem estar expondo informações médicas sensíveis e críticas para a privacidade dos pacientes. Essa exposição cria um ambiente propício para diversos riscos, incluindo:
Violação de Dados: Sistemas médicos expostos podem ser alvos de ataques cibernéticos, resultando em violações de dados e vazamentos de informações médicas confidenciais. Isso pode levar a consequências graves para a saúde dos pacientes, além de violações de regulamentações de privacidade, especialmente referentes a 13.709 – LGPD – Lei Geral de Proteção de Dados, que prevê aplicação de multas pedadíssimas às empresas que violam a privacidade de seus clientes, mesmo em casos de incidentes cibernéticos.
Acesso Não Autorizado: A exposição de sistemas médicos pode facilitar o acesso não autorizado por parte de indivíduos mal-intencionados. Esses invasores podem explorar vulnerabilidades para acessar imagens médicas, informações de clientes, alterar registros e até mesmo instalar malwares.
Ransomware: Sistemas médicos desprotegidos são alvos potenciais para ataques de ransomware, ou seja, os invasores criptografam as imagens e exigem um resgate para liberá-las. Isso pode paralisar a prestação de cuidados médicos e afetar a continuidade do atendimento ao paciente.
Exploração de Vulnerabilidades: Sistemas médicos com configurações inadequadas ou desatualizadas são vulneráveis a exploração por cibercriminosos. Vulnerabilidades não corrigidas podem ser usadas para ganhar acesso não autorizado ou causar interrupções.
Como Proteger Sistemas Médicos?
Diante desses altos riscos é fundamental que as instituições de saúde, administradores de sistemas e profissionais de segurança adotem medidas proativas para proteger os sistemas médicos e as informações dos pacientes. Algumas soluções vitais incluem:
Configuração Segura: Assegure que os sistemas médicos estejam configurados de acordo com as melhores práticas de segurança cibernética. Isso inclui firewalls, controles de acesso e autenticação forte, uso de sistemas de firewall de aplicação (WAF), monitoria de logs dos sistemas e varreduras constantes de vulnerabilidades com ferramentas específicas.
Segmentação de Rede: Isole os sistemas médicos da internet pública, restringindo o acesso direto e reduzindo a superfície de ataque.
Criptografia: Implemente a criptografia para proteger as comunicações entre os sistemas médicos e os dispositivos de visualização, garantindo a confidencialidade dos dados.
Monitoramento Constante: Utilize sistemas de monitoramento de segurança para detectar atividades suspeitas e agir prontamente em caso de violações, busque o apoio e consultoria de empresas especialistas neste tema.
Treinamento e Conscientização: Eduque os funcionários e profissionais de saúde sobre a importância da segurança cibernética, incentivando práticas seguras e conscientização sobre ameaças.
Gestão de Patches: Mantenha os sistemas médicos atualizados aplicando correções de segurança (patches) mais recentes para mitigar riscos de exploração de vulnerabilidades conhecidas.
Parceria com Fornecedores: Colabore com os fornecedores dos sistemas médicos para garantir que suas soluções sejam configuradas e mantidas com segurança.
Plano de Resposta a Incidentes: Desenvolva e mantenha um plano de resposta a incidentes específico para lidar com violações de segurança nos sistemas médicos.
Conformidade Legal: Assegure que todas as ações tomadas estejam em conformidade com as regulamentações de segurança de dados aplicáveis no Brasil.
Os sistemas médicos desempenham um papel fundamental na prestação de serviços de saúde de forma moderna, permitindo o armazenamento e a comunicação eficientes de imagens e dados médicos. No entanto, os riscos de segurança cibernética associados à exposição desses sistemas não podem ser subestimados.
“A implementação de medidas de segurança robustas, conscientização e colaboração entre instituições de saúde, profissionais de segurança e fornecedores são essenciais para proteger a confidencialidade e a integridade das informações médicas dos pacientes. Ao fazê-lo, podemos garantir que os benefícios da tecnologia sejam aproveitados sem comprometer a privacidade e a segurança dos pacientes”, conclui Trindade.
